Harbor · Harbor · CVE-2024-22244
**Nome do software vulnerável e versões afetadas**
Versões 2.8.4 e anteriores do Harbor
Versões 2.9.2 e anteriores do Harbor
Versões 2.10.0 e anteriores do Harbor
**Descrição**
O problema diz respeito a um redirecionamento aberto (Open Redirect) no Harbor no modo de autenticação OIDC, em que um parâmetro `redirect url` na URL pode ser usado para redirecionar um usuário para um site malicioso após um login OIDC bem-sucedido. Isso pode representar um risco potencial se um usuário clicar em uma URL com um `redirect url` malicioso. O `redirect url` pode ser uma URL ambígua e pode ser usado para incorporar uma URL de phishing. Por exemplo, uma URL como `https://<harbor hostname>/c/oidc/login?redirect url=https://<redirect domain>` pode redirecionar o usuário, sem seu conhecimento, para um site malicioso.
**Recomendações**
Para as versões 2.8.4 e anteriores do Harbor, atualize para o Harbor 2.8.5 ou posterior.
Para as versões 2.9.2 e anteriores do Harbor, atualize para o Harbor 2.9.3 ou posterior.
Para as versões 2.10.0 e anteriores do Harbor, atualize para o Harbor 2.10.1 ou posterior.
Como solução temporária, quando o Harbor estiver configurado com autenticação OIDC, avise o usuário para não fazer login no Harbor por meio de links externos.
Considere implementar uma verificação para garantir que `redirect url` seja um caminho local ao lê-lo a partir da URL da solicitação original, semelhante à correção implementada no arquivo `oidc.go`.